Demiad

Категория: NA Проблема: На управляемых хостах перестаёт запускаться Агент администрирования KSC. Признаки: События в Kaspersky Event Log в ОС на хостах: "#1687 File transfer module not initialized." "Служба 'klnagent' остановлена из-за ошибки. #1687 File transfer module not initialized." "Не удалось запустить службу "klnagent". #1687 File transfer module not initialized." Условия: Использование профилей в политике Агента администрирования в "Профили соединений"\ "Профили подключения к Серверу администрирования". Решение: Запросить в CompanyAccount патч-исправление, имя файла "patch_11_0_0_1131_nagent_patch_11_0_0_1131_nagent_pf_ksc11_1.exe" Ссылки: https://community.kaspersky.com/produkty-kaspersky-dlya-biznesa-31/1687-file-transfer-module-not-initialized-1332

Категория: KES 11.1.0.15919 и выше Проблема: - MS Outlook не подключается к MS Exchange Server, а вместо OWA в браузере предупреждение от KES; - Браузер не запрашивает сертификат пользователя для авторизации (в кабинетах https://lkul.nalog.ru и https://zakupki.gov.ru ) или очень долго прогружается, а затем появляется та же ошибка TLS в браузере (“Интернет-банк” банка ВТБ https://i.vtb.ru/ ) ; - (не проверено) Не подключиться MMC-консолью к Серверу администрирования с хоста с установленным KES; Признаки: MS Outlook не может подключиться MS Exchange Server, выводится окно запроса учётных данных и ошибка: "Microsoft Outlook: Обнаружена ошибка сертификата безопасности прокси-сервера. Имя сертификата безопасности не действительно или не соответствует имени конечного сайта %имя-узла-Exchange%. Outlook не может выполнить подключение к прокси-серверу. (Код ошибки 0)." При входе браузером на OWA (Outlook Web Access) Exchange-сервера выдаётся страница от Kasperksy Endpoint Security с предупреждением: "Переход на домен с недоверенным сертификатом. Безопасность вашего соединения снижена. Злоумышленники могут перехватить ваши конфиденциальные данные. Рекомендуется прекратить работу с сайтом. <...> Слабозащищенный ключ SSL." Интернет-браузер при попытке входа в личные кабинеты сайтов "Федеральная налоговая служба"/ФНС/Налог.ру https://lkul.nalog.ru и "Портал Закупок"/ГосЗакупки https://zakupki.gov.ru вместо окна выбора сертификата "Подтверждение сертификата" от "Безопасность Windows" выводит страницу ошибки: "Internet Explorer: Не удается безопасно подключиться к этой странице. Возможно, на сайте используются устаревшие или ненадежные параметры безопасности протокола TLS. Если это будет повторяться, обратитесь к владельцу веб-сайта." При попытке входа на сайт 'Интернет-банк" банка ВТБ https://i.vtb.ru сайт очень долго находится в состоянии загрузки, затем выдаётся та же ошибка TLS. Достоверность не проверена: Не подключиться MMC-консолью управления сервером администрирования с хоста с установленным KES к Серверу администрирования. Внутри консоли ошибка: ~"неверный сертификат сервера администрирования." Условия: Активирована политика KES "Общие параметры"\ "Параметры сети"\ замок включен "Проверка защищенных соединений"\ установлена опция "Проверять защищенные соединения". Контроль 443 порта производится. Решение: В политике управления KES внести адреса серверов проблемных сервисов в исключения проверки SSL-трафика. Раздел "Общие параметры"\ "Параметры сети"\ "Проверка защищенных соединений"\ кнопка "Доверенные домены" (наименование кнопки на KES 11.2 и ранее), либо кнопка может называться “Доверенные адреса" (с 11.3 новое имя и функционал, появилась поддержка добавления исключений по IP-адресам, а не только по именам доменов). Исходя из приведённых примеров было бы: exchange.test.com server-*.test.com lkul.nalog.ru zakupki.gov.ru Добавление доверенных доменов в виде IP-адресов не работает (обход ограничения). Отключение опции "Проверка защищенных соединений" проблему тоже решит, но приведён к снижению уровня антивирусной защиты. В будущем для популярных сервисов проблема может переставать существовать по причине занесения адресов в "Глобальные исключения проверки зашифрованного трафика" KES. Справка гласит: "База адресов может быть обновлена при обновлении баз и модулей KES". Таблица со списком глобальных исключений доступна только из локального интерфейса KES, ссылка на окно сразу выше опции "Проверка защищенных соединений", в политике вызова меню списка нет. Ссылки: https://community.kaspersky.com/produkty-kaspersky-dlya-biznesa-31/obnovil-kes-ne-rabotaet-konsol-i-pochta-1930 https://community.kaspersky.com/produkty-kaspersky-dlya-biznesa-31/kaspersky-endpoint-security-11-1-1-126-blokiruet-sayt-https-zakupki-gov-ru-2996 https://community.kaspersky.com/produkty-kaspersky-dlya-biznesa-31/zashchita-ot-veb-ugroz-blokiruet-internet-kes-11-1-0-15919-362

Тема с решениями популярных проблем, возникающих при переходе на последние версии антивирусных продуктов: Kaspersky Security Center 13 / KSC 12 / KSC 11 Kaspersky Endpoint Security 11.6.0.394 / 11.5.0.590 / 11.4.0.233 / 11.3.0.773 / 11.2.0.2254 + CF1 / 11.2.0.2254 / 11.1.1.126 Kaspersky Security для Windows Server 11.0.1.897 / 11.0.0.480 / 10.1.2.996 Для устранения и дальнейшего исследования любых проблем рекомендуется обновлять антивирусные продукты до последних версий, в том числе установкой патчей и критических исправлений. Последние версии продуктов в линейках версий: KSC 13 KSC 12.2 KSC 11.0.0.1131 патч B KES 11.6.0.394 KSWS 11.0.1.897 KSWS 11.0.0.480 патч Critical Fix Core 6 - предоставляется через CompanyAccount KSWS 10.1.2.996 патч Critical Fix Core 4 - предоставляется через CompanyAccount Информация собрана на основании тем портала. Инструкции к изменению параметров KES даны к политике KES в MMC-консоли KSC, а не к локальному интерфейсу KES и не Веб-консоли управления. При желании дополняйте тему своими решениями, но за собой оставляю право отредактировать сообщения под общее оформление и изложение. Для оценки решений прошу использовать систему Like и общую полезность темы смайлами. KSWS 10.1.2.996 / Kaspersky Security для Windows Server Рекомендации: устанавливать патч Core 3 минимум. Ставить KSWS на серверные ОС вместо KES, особенно с ролью терминальных. Для решения проблемы зависания или медленной работы ОС MS Windows Server 2019 в режиме кластера, следует запросить патч Core 4. Core 4 пока выдают только при наличии конкретной проблемы в отличии от Core 3. Устанавливать KSWS 10.1.2 рекомендуется не обновлением поверх на KSWS 10.0 или 10.1.0, а через удаление, иначе защита может не стартовать до перезагрузки ОС (подробнее). Никогда не следует использовать KAV Remover для удаления остатков предыдущих версий KSWS (подробнее).KSWS 11.0.0.480 Ошибка по попытке открыть статистику работы KSWS.KES / Kaspersky Endpoint Security: Переход с KES 10.3.0.6294 Не работает клавиатура и мышь после перехода с KES 10.3.0.6294.KES 11.1.0.15919 и выше В Mozilla Firefox не работают сайты по https ("Ваше соединение не защищено").KES 11.1.1.126 и выше Различные приложения не могут устанавливать SSL-соединения (MS Outlook Exchange, браузер с кабинетами nalog.ru и zakupki.gov.ru).KES 11.2.0.2254 Блокируется перезапись файла на сетевом диске.KES 11.3.0.733 Долгий вход в Windows 7, ошибка "Windows не удалось подключиться к службе "Служба уведомлений о системных событиях""KES 11.5.0.590 “Контроль устройств” определяет устройства “CD/DVD-приводы” как “Съемные диски”.NA/ Network Agent / Агент администрирования: Перестаёт работать Агент администрирования на хостах. После использования KavRemover не работает служба Агента администрирования.MMC-консоль / Консоль управления сервером администрирования: Не подключиться консолью к Серверу администрирования с хоста с установленным KES.WEB-консоль / Kaspersky Security Center Web Conscole Не устанавливается плагин KES 11.2.0.2254.KSC 11.x / Kaspersky Security Center / Сервер администрирования Каперского: Происходит сброс пользовательской последовательности столбцов при редактировании отчётов в KSC. Рост папки Cache после перехода на KSC 11KSC 12.x / Kaspersky Security Center / Сервер администрирования Каперского: KSC 12.0.0.7734 Зависает консоль MMC, если БД SQL 2019 KSC 12.0.0.7734 Настройка профиля почты для уведомлений, ошибка "...Invalid value format for 'SMTP server user name'" KSC 12.0.0.7734 Обновление Сервера администрирования завершилось с ошибкой [исправление запросить в CA]KSC 13.x / Kaspersky Security Center / Сервер администрирования Каперского: Описание проблем пока собрано в первом посте темы по KSC 13. 2021-04-21 Добавлено про KES 11.5.0.590 о проблемах с КУ. 2021-03-30 Добавлено про KSC 13 и KES 11.6. 2020-11-16 Добавлено про запрет KAV Remover для удаления KSWS. Внесено про KES 11.5.0.590. 2020-10-02 Добавлено про проблему просмотра статистики на KSWS. 2020-06-29 Добавлены проблемы KSC12 про SQL 2019, профиль почты и сбой обновления до KSC12; KES 11.3 и вход на Win7. 2020-02-04 Добавлена проблема перехода с KES 10.3.0.6294. 2020-01-29 Добавлено про установку KSWS 10.1.2. 2020-01-24 Добавлено про CF1 для KES 11.2. 2019-12-17 Добавлено про KSWS 10.1.2.996. 2019-12-03 Добавлено про KES 11.2 и Веб-консоль. 2019-10-02 Добавлена информация о патче B для KSC11.

Коллеги, вы используете критерий статус хостов "Устройство стало неуправляемым"? Какое у вас мнение сложилось о нём? По моему опыту статус нередко приходит на просто выключенные хосты (KSC 11.0.0.1131). В CA на вопрос пояснения общей логики ответили следующее: "Коллеги сообщают, что триггером для статуса "Устройство стало неуправляемым" могут быть различные условия \ проблемы, при который невозможно управление устройством со стороны Сервера администрирования. Каждый случай нужно рассматривать отдельно. Для анализа нам потребуются: - трассировка Агента с хоста и трассировка KSC с СА на момент регистрации события "Устройство стало неуправляемым". - Kaspersky Event Log с проблемного хоста - дампы Агента с проблемного хоста (если сформируются)" Сбор трассировки по плавающей проблеме на хостах весьма проблематичное занятие, поэтому не планирую пытаться решать в CA.

Evgeniy_kz , опрос AD нужен чтоб состыковать SID вошедшего доменного пользователя с SAMAccountName, DisplayName и другими атрибутами и вывести как сведения в консоль KSC. Моё предположение, если у вас стандартно стоит синхронизация раз в 15 минут, а сетевой агент обычно информацию о хосте собирает через 10 минут после запуска (где-то писали ранее на форуме), то подождать минут 40 с включения и входа пользователя и посмотреть результат. Если не появится информация о вошедшем пользователе, то в CA уже разбираться почему агент не собирает сведения, скажут как собрать диагностику.

Evgeniy_kz , "Информация о доменных пользователях формируется на основе данных Active Directory." https://help.kaspersky.com/KSC/11/ru-RU/153888.htm То есть требуется включить опрос AD: https://help.kaspersky.com/KSC/11/ru-RU/3886.htm

https://aes.s.kaspersky-labs.com/russian/endpoints/keswin11/kes_win_11.0.0.6499_ru_aes256.exe

Kapusta , посмотрите какие события в журнале "Kaspersky Event Log" в Журналах приложений и служб. Возможно по тексту ошибки получится что-то нагуглить. В целом собирайте GSI 6.2 с опцией сбора событий журналов ОС и отправляйте в CompanyAccount, там точно подскажут по проблеме.

Zandatsu , так можно было?!) Я уродовался с отчётами, лень было кейс заводить. chkhartishvili , про "последовательность полей" подтверждаю, а вот сортировка не слетает. Касается всех отчётов.

777Asino777 , у меня на сервере завалялся дистр, отправил ссылку на скачивание в ЛС.

Hi. Use this links: https://aes.s.kaspersky-labs.com/english/endpoints/kes10windows/ https://aes.s.kaspersky-labs.com/endpoints/keswin10/10.3.3.275/english-0.2749840.0/

Alexey , да. Но ещё могут влиять параметры на разделе "Общие", опции "Выполнение правила". Я лично предпочитаю ставить "Правило работает постоянно", но это только для варианта, когда ты не используешь перемещение хостов по группам руками, только всё на основании правил перемещения.

Наследование в параметрах политики это наследование политик от той же версии KES от вышестоящих серверов, когда ваш сервер подчинённый. Не ваш случай, похоже. Значение галки не важно. Использовать несколько политик не следует, лучше стараться избегать создание более чем одной политики на каждую версию антивируса. Для переопределения настроек рекомендовано применять Профили политик: https://help.kaspersky.com/KSC/11/ru-RU/92434.htm К сожалению, в профилях не задать условие применение на Группу, даже через Теги. Если есть Active Directory, то отлично решается условиями на группы или орг.подразделения в нём. Лучше назвать бизнес-задачу и технические особенности (наличие AD, удаляются ли объекты хостов с KSC), получится подсказать точнее.

Alexey , давай последовательно. Пишешь много, а результата того что попросил проверить не говоришь) Zandatsu всё правильно написал, и я тебе говорю сравни отпечатки сертификата в пакете агента и сервера, выше писал где смотреть. То что хост не меняет наличие сетевого агента на нём это норма. KSC никак не проверяет его наличие на хосте, он так и будет писать о его наличии. Пока не наступит срок удаления объекта из управляемых Групп (ветка Управляемые устройства) и уже из раздела где опрос AD, сети и тп. (см. свойства Домены, там задан срок после которого объект удаляется полностью). Затем его KSC снова находит по опросу и уже без агента он окажется. Руками это дело ускоряется через поиск по всему (в корне консоли) KSC и удаление из Управляемых и из Нераспределённых. Если агент администрирования удаляется штатным установщиком из Установка/удаление программ Windows и сеть есть в этом время, то информация с KSC удалится, хост на прощание отправляет на KSC информацию об удалении. Насколько помню это так, инфа двухлетней давности в моей памяти, лучше проверить.

Alexey , я предполагаю сценарий: была новая установка сервера (не обновление поверх старого), затем импортирован сертификат сервера на сам сервер KSC, но не заменён сертификат в инсталляционном пакете Агента администрирования. Для проверки требуется сравнить отпечатки сертификата в Свойства сервера\ Посмотреть сертификат сервера и в Свойства пакета Агент администрирования Подключение\ поле Использовать сертификат Сервера. Заодно там же проверить значение "Адрес Сервера администрирования", друг там как раз указан 127.0.0.1. Ещё другой вариант, что накосячено в параметрах Подключения\ Профили соединений параметров политик Агента администрирования. Стоит проверить всё ли там нормально или по умолчанию. Порт 4360 правда такой? Стандартный 13000. Службу агента, вероятно, не даёт остановить галка в параметрах инсталляционного пакета "Защитить службу Агента администрирования от неавторизованного удаления". Ещё в параметрах пакета агента стоит проверить разделы про прокси и шлюз. Возможно, там 127.0.0.1:4360 прячутся. klnagchk.exe надо запускать из командной строки, а не кликом по EXE'шнику. Иначе он выполняется и закрывает. И для проверки хотя бы попробуй сделать команду на переключение на новый сервер через klmover, то есть на тот же сервер, но как бы как на новый подключаешь получится. Исключит вариант сетевых проблем, если всё успешно будет. Наткнулся случайно на КБшку, вдруг вариант совпадёт: https://support.kaspersky.ru/12776#block2 Заодно скажу, что лучшие практики от ЛК, да и я сам такого придерживаюсь, разделить обновление агента до новой версии и установку антивируса. Сделай выборку на старые версии агента и раскатывай на неё новую версию агента. Затем уже на выборку с новой версией агента раскатывай новую версию АВ. Так лучше получается.

Pokemon_ru , не понял что не так. Работает при параметрах: Имя: любое Имя исполняемого файла: mstsc.exe Рабочая папка пусто Командная строка: /shadow /s:1 /v:<host_dnsname> /noConsentPrompt /control

Вопрос: При использовании внешних инструментов из контекстного меню на хостах, на некоторых хостах возникает ошибка "Не удалось запустить внешний инструмент". По какому принципу она возникает? Контекстная справка не содержит ответ https://help.kaspersky.com/KSC/11/ru-RU/55366.htm Поисковые слова: Не удалось запустить внешний инструмент Внешний инструмент

Pokemon_ru на Win8.1 у меня тоже завелось по той статье. Все параметры надо задать (Shadow=2). Команда для подключения без подтверждения: mstsc /shadow:№ /v:Hostname /noConsentPrompt /control Где "№" - номер сессии, скорее всего, будет единица. А Hostname - сетевое имя устройства. Остаётся только во внешние инструменты консоли вынести.

Pokemon_ru , ранее в KSC тоже не было настроек включения или отключения запроса, поменяли поведение. Настройками в KSC запрос подтверждения не убрать. Поэтому только сторонние средства. Либо если на хостах Win10 смотрите http://winitpro.ru/index.php/2018/07/11/rdp-shadow-k-rabochemu-stolu-polzovatelya-windows-10/ Сессия пользователя есть? Потому что Windows Desktop Sharing API не позволяет, насколько я понимаю, подключаться "просто к экрану" без сессии пользователя.

Pokemon_ru , ответ для Вас: источник: https://forum.kaspersky.com/index.php?/topic/343331-%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE%D0%B4%D1%82%D0%B2%D0%B5%D1%80%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F-windows-desktop-sharing-%D0%B2-%D0%BF%D1%80%D0%BE%D1%86%D0%B5%D1%81%D1%81%D0%B5-1570238-not-a-bug/ Alexey , ты всё перемешал. Есть два варианта подключения: 1. Через "Подключение к удалённому рабочему столу Windows" (mstsc.exe) в контекстном меню дублируется в пунктах: "Подключиться к устройству\ Новая сессия RDP" "Внешний инструменты\ Удаленный рабочий стол" Работает на всех видах лицензий KSC. Отличается от обычного подключения через mstsc.exe тем, что подключение строится через туннелирование соединения через Сетевой агент администрирования KSC. 2. Через средство KSC "Kaspersky Remote Desktop Session Viewer.", использует Microsoft-технологию Windows Desktop Sharing. В контекстном меню: "Подключиться к устройству\ Совместный доступ к рабочему столу Windows" Требуется наличие Расширенной лицензии (Total), добавленной в свойствах сервера KSC.

Ivan Ivan первая основная рекомендация на серверных ОС использовать KSWS https://support.kaspersky.ru/ksws10#downloads Касательно ваших обсуждений исключений KES важно не путать разделы "Исключения из проверки" и "Доверенные программы". Про что спрашиваете в последнем сообщении я уже не понимаю. Тут в двух словах о разделах написано: https://help.kaspersky.com/KESWin/11.1.1/ru-RU/178487.htm Про "Исключения из проверки" в статье про маски всё написано. Касательно "Доверенных программ" нет. Я лично завёл запрос с вопросом в CA, поскольку на версии KES 10.2.4.674 отсутствовала поддержка масок, сейчас не знаю. Про переменные в статье КБ https://support.kaspersky.ru/14085#block5 на скрине использована системная переменная, но работают ли переменные на самом деле лучше проверить до занесения всего списка доверенных программ и исключений из проверки. Исторически были проблемы с этим. Маски лучше тоже проверить.

К слову, "Время начала последней сессии" это не пользовательской сессии время начало, а время загрузки ОС. В 11-м KSC зачем-то переименовали столбец, ранее он был "Время включения устройства".

Вопрос: Присутствует ли поддержка масок, пользовательских и системных переменных в "Доверенные программы"? Поисковые слова: синтаксис маска доверенные программы Исключения из проверки для программы INC000010657095

gni , трассировка консоли https://support.kaspersky.ru/15025#block3

amiton , посмотрите "Журнал обновлений" ОС, может, там после каждой установки "Отказ". И я не понимаю почему у Вас на скриншоте в первом сообщении тему замки открыты. В таком случае указанные параметры не применяются на хостах, надо закрыть их.